Dicas de configuração do ADAudit Plus da ManageEngine

O ADAudit Plus da ManageEngine é uma solução web, que coleta logs de auditoria em tempo real, gera relatórios e auditoria de alterações do Windows Active Directory. As empresas podem auditar o Windows AD, servidores de arquivos do Windows, servidores Windows, workstations Windows, NetApp, servidores EMC, impressoras e dispositivos de armazenamento removíveis. No ADAudit Plus, fazemos o melhor esforço para enviar um produto pronto! No entanto, o ambiente de servidor Windows inclui alguns obstáculos de configuração, esses não são problemas da solução, mas as configurações manuais que deram errado e precisam de uma configuração detalhada em um nível mais profundo.

Vamos dar uma olhada nas principais falhas de configuração do ADAudit Plus e suas soluções.

1. Fornecer privilégios adequados

O ADAudit Plus inicia a auditoria quando a credencial do usuário aplicada ao produto é uma conta “Admin do domínio”. Quando os usuários não querem fornecer uma conta de Admin do domínio, devem configurar manualmente as permissões para fornecer os privilégios básicos necessários para o funcionamento bem-sucedido do ADAudit Plus. No caso de uma conta com privilégios insuficientes, o serviço falhará na coleta dos logs de auditoria.

2. Tamanho do log de segurança

O ADAudit Plus coleta periodicamente dados de auditoria dos servidores configurados e armazena as informações no banco de dados para geração de relatórios. Para evitar a perda de dados, recomendamos as configurações de log de segurança abaixo:

SO do servidor

Função Tamanho do log de segurança (em MB)

Retenção do log de segurança

Windows Server 2003

Domain Controller 256 Sobrescrever eventos quando necessário

Windows Server 2008 e superior

Domain Controller 1048 Sobrescrever eventos quando necessário

Windows Server 2003

File Server 256

Sobrescrever eventos quando necessário

Windows Server 2008 e superior File Server 4194

Sobrescrever eventos quando necessário

Windows Server 2003

Member Server 256

Sobrescrever eventos quando necessário

Windows Server 2008 e superior Member Server 1048

Sobrescrever eventos quando necessário

3a. Configurando a política de auditoria e as SACLs

As políticas de auditoria e as SACLs devem ser configuradas em qualquer ambiente do Active Directory para garantir que os dados de auditoria relevantes sejam registrados nos logs de segurança dos computadores ou controladores de domínio desejados. O ADAudit Plus armazena os dados e relatórios somente dos computadores habilitados para a política de auditoria.

Active Directory: A política “Default Domain Controllers” deve ser configurada para que o ADAudit Plus forneça relatórios de auditoria sobre as alterações do Active Directory registradas nos logs de segurança dos Controladores de Domínio. Em seguida, as SACLs correspondentes para auditar os respectivos objetos do AD devem ser definidas.

Política de auditoria | SACLs

Servidores de arquivos do Windows: o ADAudit Plus requer algumas configurações a serem definidas para uma auditoria completa dos servidores de arquivos. Essa configuração deve ser configurada através de uma GPO. Este GPO deve ser vinculado a todos os servidores de arquivos que exigem auditoria. Por último, as SACLs desejadas no arquivo compartilhado devem ser definidas.

Política de auditoria | SACLs

Servidores membros do Windows: Após a configuração do GPO, o memo deve ser vinculado a todos os servidores membros que exigem auditoria.

Política de auditoria de login local | Política de auditoria de eventos do sistema

Monitoramento de integridade de arquivos: Auditoria de alterações críticas de configuração e de sistemas de arquivos de aplicativos (log, auditoria, texto, exe, web, configuração e arquivos DB) e SACLs para uma auditoria aprofundada.

Política de auditoria | SACLs

Filers da NetApp: audite os dispositivos NetApp filers network attached storage (NAS) configurando a política de auditoria do arquivador NetApp e as SACLs.

Política de auditoria | SACLs

Servidores EMC: A auditoria dos servidores EMC requer que o GPO correspondente esteja configurado e ligado a todos os servidores EMC, juntamente com os SACLs necessários definidos para uma auditoria completa.

Política de auditoria | SACLs

Estações de trabalho Windows: A auditoria do logon e logoff das estações de trabalho do usuário pode ser feita configurando a diretiva de auditoria das estações de trabalho necessárias.

Política de auditoria

3b. Configurando a Política de Auditoria Avançada

Configurar a Política de Auditoria Avançada nos ambientes do Windows Server (2008 R2, Windows 7 e acima) garante que apenas os logs de segurança necessários para auditoria sejam coletados, garantindo que o espaço em disco não seja preenchido rapidamente com logs indesejados.

Domain controllers | Windows file servers | Windows member servers | Windows workstations

4. ADAudit Plus como um Serviço

Execute o ADAudit Plus como um serviço para a coleta ininterrupta de logs de eventos de segurança e para processar os dados para relatórios e alertas de auditoria.

Siga as etapas abaixo para executar o ADAudit Plus como um serviço do Windows.

  1. Pare o ADAudit Plus (Start > All Programs > ADAudit Plus > Stop ADAudit Plus).
  2. Abra o prompt de comando (clique direito> Executar como administrador, no caso do Windows Server 2008).
  3. Vá para o diretório <ManageEngine\ADAudit Plus\bin>
  4. Execute o comando ‘InstallNTService.bat’.
  5. Abra o services.msc e localize o serviço ‘ManageEngine ADAudit Plus’, clique com o botão direito do mouse em Propriedades.
  6. Clique na aba ‘Logon’ e selecione a opção ‘This Account’ e forneça a credencial (se possível, utilize uma conta de administrador).
  7. Inicie o serviço ManageEngine ADAudit Plus.

5. Gerenciamento de espaço em disco

Como os eventos ocorrem entre domínios e servidores, os logs de eventos são preenchidos com dados, que são processados ​​para informações significativas (relatórios / forense) e posteriormente arquivados (economizar espaço em disco e para relatórios históricos). O espaço em disco necessário para armazenar a quantidade crescente de dados de log de eventos depende do número de controladores de domínio, servidores de arquivos, estações de trabalho e muito mais.

Requisitos de espaço em disco

O cálculo de requisitos do disco rígido para auditoria do Active Directory e auditoria do servidor de arquivos são detalhados nesse documento. Os números são alcançados com um cálculo simples com base no número de usuários, no número de dias e no tamanho aproximado de um log de eventos.

Alertas de espaço em disco

Um administrador pode configurar um valor limite para espaço em disco livre. Quando o espaço livre no servidor estiver abaixo do limite, um alerta será enviado para o endereço de e-mail configurado.

  1. Verifique o tamanho da pasta ev_temp, temp e verifique se ela está vazia ou tem poucos arquivos.
  2. Verifique se o tamanho da pasta logs não é superior a 1 GB.

6. Instalando o GPMC na máquina ADAudit Plus

O Console de Gerenciamento de Política de Grupo (GPMC) é necessário no computador onde o ADAudit Plus é instalado para a geração bem-sucedida de “Relatórios Avançados de GPO”.

Para instalar o GPMC em um Windows 2008 R2 ou superior clique AQUI.

7. Controle total no diretório de instalação do usuário do ADAudit Plus

O ADAudit Plus exige que o usuário que instala o produto tenha controle completo sobre as pastas de instalação do produto. Esse requisito garante que o usuário possa aplicar com êxito a licença do produto, programar relatórios e arquivar dados.

  1. Vá para a pasta <ManageEngine\ADAudit Plus>
  2. Clique com o botão direito do mouse na pasta “ADAudit Plus”> Properties> aba Security> Edit> Add
  3. Adicione a conta de usuário / serviço conectado e forneça “Full Control”.

Esperamos que as soluções acima respondam às suas perguntas sobre a configuração do ADAudit Plus. Para obter ajuda com as dicas acima, com qualquer outro problema de configuração ou caso deseje realizar 30 dias de testes da solução, entre em contato com a equipe ACSoftware, teremos o maior prazer em te auxiliar.

Fone (11) 4063 1007 – Vendas (11) 4063 9639

Deixe um comentário